先日のことだ。保守を行っているサイトでの話。
顧客からある調査依頼を受けその結果を返す必要があったが、これまでに発生したことがないエラーだったので、保守チーム内で確認のうえで結果を返そう、ということにした。
作業はこの保守チームに一番長くいる、年齢的には確か30台後半のA氏が担うことになった。
しかし、事件は起こった。
・調べた結果を勝手に送付
・通常は資料を別の方法(宅ふぁいる便みたいな方法)で送るルールなのに、抜粋したログをメールにベタ貼り(暗号化されていない平文)
・貼り付けたログの中に個人情報が含まれていた
ログの中に個人情報?そう思うだろう。おそらく開発時に確認のためにいれたものがそのまま残っているのだろう。しかし、せめてDEBUGレベルになって居る必要があるだろう。INFO以上にあってはいけない。それを知らなかった、なら不幸なのかもしれない。
しかし、だ。
少なくとも「ログに個人情報が出ている」ということは5月くらいに確認したところであるし、いずれ出力を避けるようにする、という話も出ていたので、意識していれば気づいたであろう。意識していなかった、といえばそれまでだ。
また、本人は「個人情報が含まれていることに気がつかなかった」と主張していたが、ログを抜粋する際にログの内容は読んで「ここを抜き出そう」とするだろう。なぜ気がつかないのかは分からないが、気がつかなかったらしい。
会社によってはクビとかあるんだけれど、今回は始末書の作成。
まあ、ここまではいい。
これについて、さすがに問題なので温厚(だと思うよ)な私も叱った。そりゃ、決まり事を守らないうえ、結果として個人情報が漏れるかもしれないことをやらかしているのだから。
しかし、説明を求めても答えられない。糠に釘状態。おまけに返事がない。
私:「分かってます?」
A:「分かってます」
私:「何やったか説明して」
A:「(返答無し)」
私:「本当に分かってる?」
A:「分かってるって言ってるじゃないですか(語気強め)」
アホらしくなってそのへんにしておいた。
うちの運用では週一で週のインシデントとか反省点とかを述べ、改善策を述べさせるし、反面教師的として「明日は我が身」を感じてもらうつもりでもいる。
しかし、A氏の口から、その週の始末書が出るレベルの件について、述べられることはなかった。
実は、その後、私は上長に呼ばれている。
上:「身の上の危険を感じるほど私から怒られた、とAから聞いたが、どうなん?」
私:「私より周りに聞いてみたら客観的意見が分かると思いますよ」
上記のようなエンジニアって今どき普通なのだろうか?だとすると日本の将来は暗いなと思ってしまう。
顧客からある調査依頼を受けその結果を返す必要があったが、これまでに発生したことがないエラーだったので、保守チーム内で確認のうえで結果を返そう、ということにした。
作業はこの保守チームに一番長くいる、年齢的には確か30台後半のA氏が担うことになった。
しかし、事件は起こった。
・調べた結果を勝手に送付
・通常は資料を別の方法(宅ふぁいる便みたいな方法)で送るルールなのに、抜粋したログをメールにベタ貼り(暗号化されていない平文)
・貼り付けたログの中に個人情報が含まれていた
ログの中に個人情報?そう思うだろう。おそらく開発時に確認のためにいれたものがそのまま残っているのだろう。しかし、せめてDEBUGレベルになって居る必要があるだろう。INFO以上にあってはいけない。それを知らなかった、なら不幸なのかもしれない。
しかし、だ。
少なくとも「ログに個人情報が出ている」ということは5月くらいに確認したところであるし、いずれ出力を避けるようにする、という話も出ていたので、意識していれば気づいたであろう。意識していなかった、といえばそれまでだ。
また、本人は「個人情報が含まれていることに気がつかなかった」と主張していたが、ログを抜粋する際にログの内容は読んで「ここを抜き出そう」とするだろう。なぜ気がつかないのかは分からないが、気がつかなかったらしい。
会社によってはクビとかあるんだけれど、今回は始末書の作成。
まあ、ここまではいい。
これについて、さすがに問題なので温厚(だと思うよ)な私も叱った。そりゃ、決まり事を守らないうえ、結果として個人情報が漏れるかもしれないことをやらかしているのだから。
しかし、説明を求めても答えられない。糠に釘状態。おまけに返事がない。
私:「分かってます?」
A:「分かってます」
私:「何やったか説明して」
A:「(返答無し)」
私:「本当に分かってる?」
A:「分かってるって言ってるじゃないですか(語気強め)」
アホらしくなってそのへんにしておいた。
うちの運用では週一で週のインシデントとか反省点とかを述べ、改善策を述べさせるし、反面教師的として「明日は我が身」を感じてもらうつもりでもいる。
しかし、A氏の口から、その週の始末書が出るレベルの件について、述べられることはなかった。
実は、その後、私は上長に呼ばれている。
上:「身の上の危険を感じるほど私から怒られた、とAから聞いたが、どうなん?」
私:「私より周りに聞いてみたら客観的意見が分かると思いますよ」
上記のようなエンジニアって今どき普通なのだろうか?だとすると日本の将来は暗いなと思ってしまう。